8.2  企業信息安全體系

8. 2.1  信息安全體系架構

不同的企業對信息安全的需求不同，構建企業切實可行的信息安全體系，實質上是實施一個復雜的系統工程，既不能照抄照搬其他企業的模式，也不能簡單地堆砌各種安全產品，而要考慮兼顧諸多因素：

一要充分認知企業信息安全現實和未來發展趨勢，兼顧企業內外部物理環境、系統本身的特征、人文因素，因勢利導，對癥下藥；二要管理手段和技術措施并重，管理作指導，技術作保障；三要兼治外部攻擊和內部缺陷，防外與防內相結合；四要系統加固與反攻擊同步，在加強外部防范的同時，要加強信息系統本身的安全措施；五要安全性與易用性適衡，信息系統只有有效使用才能充分發揮作用，不能因噎廢食，過分追求安全，嚴重影響系統的應用性能；六要考慮安全投入與信息系統價值相匹配，企業一方面要節約成本，另一方面要把安全風險降低到可以接受的程度。

充分考慮和權衡上述因素，才有可能建立適合企業自身的信息安全體系。

企業信息安全體系的設計，要完整地包括信息安全策略、信息安全組織、信息安全技術和信息安全建設與運行四部分內容，具體是：

建立企業信息安全策略框架，制定信息資產和信息系統的分級規范和相應的安全保護標準，制定完善的信息安全策略、安全管理制度、安全技術規范、操作流程、操作規范，形成完整的策略體系，并建立策略體系動態維護機制。